網(wǎng)絡(luò)靶場(cyber range)可用于指導(dǎo),、測試和評估網(wǎng)絡(luò)武器效能,,演練網(wǎng)絡(luò)空間漏洞分析、漏洞挖掘,培養(yǎng)網(wǎng)絡(luò)人員,。近年來,作為支撐網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)的重要基礎(chǔ)設(shè)施,,網(wǎng)絡(luò)靶場正在成為世界各國搶先布局的網(wǎng)絡(luò)作戰(zhàn)新高地,。特別是對網(wǎng)絡(luò)靶場投入建設(shè)較早且效果顯著的美國,早在2008年就啟動“國家數(shù)位靶場”(NCR)計劃,,并于2017年啟動持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境(PCTE)建設(shè),,利用云端化平臺方式滿足分散各地、各軍種網(wǎng)絡(luò)作戰(zhàn)部隊的統(tǒng)一網(wǎng)絡(luò)訓(xùn)練環(huán)境,。這也是美國繼NCR之后又一重量級網(wǎng)絡(luò)靶場建設(shè)項目,。目前,,國內(nèi)的網(wǎng)絡(luò)靶場也正在成為網(wǎng)絡(luò)安全戰(zhàn)略建設(shè)的重要基礎(chǔ)設(shè)施。大規(guī)模,、高逼真,、對抗性的網(wǎng)絡(luò)靶場平臺,已經(jīng)成為網(wǎng)絡(luò)安全研究,、人才培養(yǎng),、實戰(zhàn)演練、安全測試,、效能分析以及態(tài)勢推演等的專業(yè)試驗平臺,。
網(wǎng)絡(luò)靶場分類
2020年6月底,美國國家標(biāo)準(zhǔn)技術(shù)研究院(National Institute of Standards and Technology,,NIST)發(fā)布了《網(wǎng)絡(luò)靶場指南》,,對網(wǎng)絡(luò)靶場進行定義,并總結(jié)了網(wǎng)絡(luò)靶場的特征及類型等等,。NIST認(rèn)為,,網(wǎng)絡(luò)靶場是網(wǎng)絡(luò)、系統(tǒng),、工具和應(yīng)用程序的交互式,、模擬平臺和展示。具有五大關(guān)鍵特征:技術(shù)要素,、真實性和逼真度,、可訪問性和可用性、可擴展性和彈性以及相關(guān)課程和學(xué)習(xí)成果,。NIST的網(wǎng)絡(luò)靶場定義范圍主要圍繞網(wǎng)絡(luò)安全教育,、認(rèn)證和培訓(xùn)的使用案例、功能和類型來進行描述,,且由美國國家網(wǎng)絡(luò)安全教育計劃(NICE)網(wǎng)絡(luò)靶場項目小組編寫,,所以其總結(jié)的網(wǎng)絡(luò)靶場特征及類型偏重于特定范圍。
NIST《網(wǎng)絡(luò)靶場指南》對目前市面上的網(wǎng)絡(luò)靶場分為4類:模擬類,、仿真類,、疊加類、混合類,。
模擬類:NIST《網(wǎng)絡(luò)靶場指南》對模擬類網(wǎng)絡(luò)靶場的定義是,,基于真實網(wǎng)絡(luò)組件重建的一個綜合網(wǎng)絡(luò)環(huán)境,模擬運行在虛擬實例中,,不需要任何物理網(wǎng)絡(luò)設(shè)備,。模擬類網(wǎng)絡(luò)靶場對真實世界建模,通過模型之間的互動,,分析各單元的行為表現(xiàn),。模擬類網(wǎng)絡(luò)靶場部署容易,,安裝和維護費用較低;但是有研究指出,,其測試結(jié)果準(zhǔn)確性存疑,。模擬類典型的案例就是美國空軍的SIMTEX網(wǎng)絡(luò)安全模擬器。
仿真類:NIST《網(wǎng)絡(luò)靶場指南》對仿真類網(wǎng)絡(luò)靶場的定義是,,在專用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運行,,將已構(gòu)建的網(wǎng)絡(luò)/服務(wù)器/存儲基礎(chǔ)設(shè)施映射到物理基礎(chǔ)設(shè)施上,成為網(wǎng)絡(luò)靶場的物理基礎(chǔ)設(shè)施,。仿真類網(wǎng)絡(luò)靶場可以在多個互連的環(huán)境中提供封閉的網(wǎng)絡(luò)體驗,。仿真類網(wǎng)絡(luò)靶場使用獨立的物理測試臺,配置出需要測試的環(huán)境,,運行真實的軟件,。這類靶場要求能對硬件進行重新配置,可根據(jù)測試需要,,采用不同的拓?fù)浣Y(jié)構(gòu),。仿真類網(wǎng)絡(luò)靶場使用真實的計算機、操作系統(tǒng),、應(yīng)用軟件,、有限的資源,能反映真實環(huán)境,;當(dāng)然,,硬件投入比模擬類要高得多(這一點可以通過虛擬化來降低)。仿真類靶場典型的案例就是美國的國家網(wǎng)絡(luò)靶場(NCR),。
疊加類:NIST《網(wǎng)絡(luò)靶場指南》對疊加類網(wǎng)絡(luò)靶場的定義是,運行在真實網(wǎng)絡(luò),、服務(wù)器和存儲設(shè)備之上的網(wǎng)絡(luò)靶場,。通俗點說就是利用現(xiàn)有的生產(chǎn)環(huán)境資源,建立的網(wǎng)絡(luò)靶場環(huán)境,。所以這類靶場稱為“疊加(overlay)”,,即在實際的生產(chǎn)現(xiàn)場軟件上進行測試,使用實際的生產(chǎn)資源,,而不是使用專門的網(wǎng)絡(luò)靶場實驗室,。這類靶場在規(guī)模、費用和保真度方面都有優(yōu)勢,,缺點是不夠正規(guī),,比如重復(fù)測試,試驗控制性較差,,可能對實際網(wǎng)絡(luò)造成不利影響,。疊加類靶場典型的案例是美國國家科學(xué)基金會資助的全球網(wǎng)絡(luò)創(chuàng)新環(huán)境(GENI),。
混合類:NIST《網(wǎng)絡(luò)靶場指南》對混合類網(wǎng)絡(luò)靶場的定義是,混合類網(wǎng)絡(luò)靶場是由上述模擬,、仿真,、疊加三種靶場定制組合產(chǎn)生?;旌项惏袌鲆粋€典型的案例是弗吉尼亞網(wǎng)絡(luò)靶場,。弗吉尼亞網(wǎng)絡(luò)靶場綜合了上文提到的多種靶場的功能。另一個典型的混合靶場是2008年開始的“歐洲未來互聯(lián)網(wǎng)研究與實驗平臺”,。
評估網(wǎng)絡(luò)靶場的因素
從網(wǎng)絡(luò)靶場的可訪問性和可用性上來說,,NIST《網(wǎng)絡(luò)靶場指南》認(rèn)為網(wǎng)絡(luò)靶場的部署位置和靶場本身的復(fù)雜性是兩個決定性因素。網(wǎng)絡(luò)靶場的部署位置主要是基于云端的部署和本地的部署,,不管是何種部署方式,,網(wǎng)絡(luò)靶場都要考慮好在用戶需要的時候可以訪問靶場技術(shù)和應(yīng)用程序,并且盡可能提供優(yōu)質(zhì)的用戶體驗,。這些一系列的背后就需要考慮網(wǎng)絡(luò)鏈路,、帶寬質(zhì)量、政策及靶場軟硬件的負(fù)載等,。網(wǎng)絡(luò)靶場本身的安裝,、使用是否復(fù)雜將決定網(wǎng)絡(luò)靶場的可用性。
也就是說網(wǎng)絡(luò)靶場的本身的安裝,、使用操作一定是人性化的,,不能還是工程師界面或命令行操作接口;如果靶場本身比較復(fù)雜,,那么靶場本身的可用性就比較低了,。NIST《網(wǎng)絡(luò)靶場指南》認(rèn)為不管是用戶選擇靶場產(chǎn)品還是廠商設(shè)計產(chǎn)品,都需要考慮網(wǎng)絡(luò)靶場的可用性,,這是一個很關(guān)鍵的要素,。
從網(wǎng)絡(luò)靶場的可擴展性和彈性上來說,NIST《網(wǎng)絡(luò)靶場指南》認(rèn)為網(wǎng)絡(luò)靶場的底層基礎(chǔ)架構(gòu)將是決定性因素,??蓴U展性是指網(wǎng)絡(luò)靶場支持系統(tǒng)目標(biāo)人群的能力,彈性是指增加容量以支持更多用戶所需的時間,。NIST《網(wǎng)絡(luò)靶場指南》認(rèn)為理想的靶場應(yīng)該能夠同時支持其所有潛在用戶群,,并可以根據(jù)要求立即增加支持其他用戶的能力。
美國網(wǎng)軍專用靶場--PCTE
美國國防部于2016年指定由陸軍主導(dǎo)建設(shè)PCTE,,即建立一個基于混合式云端服務(wù)的訓(xùn)練平臺,。目前該項目由美國陸軍模擬、培訓(xùn)和儀器計劃執(zhí)行辦公室(PEO STRI)管理。PCTE最主要的建設(shè)目標(biāo)是為網(wǎng)絡(luò)任務(wù)部隊提供一個可以從世界任何地方登錄以進行培訓(xùn)和演習(xí)任務(wù)的強大云端網(wǎng)絡(luò)培訓(xùn)環(huán)境,。PCTE可向美軍網(wǎng)絡(luò)任務(wù)部隊提供針對個人,、團隊或部隊級別網(wǎng)絡(luò)訓(xùn)練場景服務(wù),從而點對點規(guī)劃,、準(zhǔn)備,、執(zhí)行和評估網(wǎng)絡(luò)作戰(zhàn)演練,并充當(dāng)大型網(wǎng)絡(luò)演練場景基礎(chǔ),。
2019年11月25日美國發(fā)布PCTE項目CYBER TRIDENT(網(wǎng)絡(luò)培訓(xùn),、就緒、集成,、交付和企業(yè)技術(shù))合同,,項目合同額度近9.570億美元。作為一個可擴展的強大云端網(wǎng)絡(luò)空間作戰(zhàn)虛擬培訓(xùn)平臺,,PCTE于2020年3月從原型階段過渡到生產(chǎn)階段,,并已經(jīng)發(fā)布兩個版本。
美軍各軍種都在PCTE上開發(fā)和添加培訓(xùn)活動內(nèi)容,。2019年,,美國網(wǎng)絡(luò)安全訓(xùn)練環(huán)境開發(fā)商Resolvn贏得了在PCTE平臺上開發(fā)和維護美國海軍高保真虛擬訓(xùn)練環(huán)境的合同。該系列由14個相互連接的網(wǎng)絡(luò)組成,,包括發(fā)電廠,、多個互聯(lián)網(wǎng)服務(wù)商、國防部設(shè)施,、市政建筑和其他網(wǎng)絡(luò),。根據(jù)該公司的說法,這種現(xiàn)實環(huán)境的虛擬化將減少個人和團隊開展防守或進攻訓(xùn)練所需的時間,,使海軍能夠在具有自動流量生成和用戶仿真的近乎規(guī)范的網(wǎng)絡(luò)中進行定期訓(xùn)練,。
美國和澳大利亞在繼續(xù)開發(fā)虛擬網(wǎng)絡(luò)訓(xùn)練靶場方面啟動了合作進程。兩國于2020年11月3日簽署了網(wǎng)絡(luò)訓(xùn)練能力項目協(xié)議,。這項雙邊的國際協(xié)議旨在使美國網(wǎng)絡(luò)司令部能夠?qū)拇罄麃唶啦筷牸{入網(wǎng)絡(luò)通信的模擬訓(xùn)練領(lǐng)域,,即PCTE持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境。共享使用和開發(fā)該平臺旨在不斷發(fā)展和提高兩國網(wǎng)絡(luò)戰(zhàn)術(shù),、技術(shù)和程序的準(zhǔn)備能力,。此前,,美國和盟國網(wǎng)絡(luò)部隊為特定場景開發(fā)了網(wǎng)絡(luò)訓(xùn)練平臺,,但這種平臺是一次性的。而PCTE的目標(biāo)是提供一個持續(xù)協(xié)作的培訓(xùn)環(huán)境,,使美國及其盟國的網(wǎng)絡(luò)部隊能夠開發(fā)和重復(fù)使用既有的資源,,以便隨時在個人和團隊層面進行培訓(xùn)。
在網(wǎng)絡(luò)空間,作戰(zhàn)致勝不再取決于子彈和炸彈,,而是取決于技術(shù)和速度,。作為美國防部著力打造的網(wǎng)絡(luò)作戰(zhàn)平臺,PCTE將有力提升美軍網(wǎng)絡(luò)人員作戰(zhàn)技能和團隊整體作戰(zhàn)能力,,為美軍獲取網(wǎng)絡(luò)空間作戰(zhàn)優(yōu)勢提供強大助力,。
數(shù)字孿生靶場是網(wǎng)絡(luò)空間靶場的發(fā)展方向
跟傳統(tǒng)的仿真方式不同,數(shù)字孿生體更強調(diào)分層的數(shù)據(jù)顆粒度實現(xiàn),,這樣能在較低成本基礎(chǔ)上,,實現(xiàn)網(wǎng)絡(luò)靶場,適應(yīng)不同的戰(zhàn)略和戰(zhàn)術(shù)要求,。
今年以來元宇宙概念持續(xù)火爆,,元宇宙使現(xiàn)實世界與科技幻想相融合。通過元宇宙的構(gòu)建,,真實世界的信息將得到虛擬世界的極大補充,,人類與虛擬世界的互動方式將得到全新提升,在此基礎(chǔ)上將誕生充滿想象空間的商業(yè)模式,,游戲,、社交、娛樂,、消費等都會發(fā)生翻天覆地的變化,。
我們可以大膽設(shè)想,網(wǎng)絡(luò)靶場將在未來元宇宙構(gòu)建的過程中發(fā)揮極大的作用,,在元宇宙視角下引領(lǐng)新一代網(wǎng)絡(luò)安全技術(shù)的改革與創(chuàng)新,。